@umacloud/knowledge 1.0.1

package/development/03-checklists/production-readiness-checklist.md

@@ -0,0 +1,190 @@
+---
+id: production-readiness-checklist
+title: 生产就绪检查清单 (Production Readiness Checklist)
+domain: development
+category: 03-checklists
+difficulty: intermediate
+tags: [checklist, development, production, readiness, 可靠性与容灾, 合规与审计, 基础设施与部署, 安全]
+quality_score: 70
+last_updated: 2026-06-15
+---
+# 生产就绪检查清单 (Production Readiness Checklist)
+
+> 适用场景：服务首次上线、重大架构变更上线、跨区域部署前的全面审查。
+> 通过标准：所有 MUST 项全部勾选，SHOULD 项覆盖率 >= 90%，MAY 项视业务风险评估决定。
+
+---
+
+## 1. 基础设施与部署
+
+### 1.1 计算资源
+
+- [ ] **资源规格已确认** — CPU / 内存 / 磁盘 IOPS 经过容量评估，预留 >= 30% 余量。
+- [ ] **自动扩缩容策略已配置** — HPA / VPA 或云厂商 Auto Scaling 规则已生效，扩容触发阈值与冷却时间已验证。
+- [ ] **节点亲和性与反亲和性已设置** — 关键服务跨可用区分布，单 AZ 故障不影响整体可用性。
+- [ ] **资源限制（limits/requests）已声明** — 所有 Pod 均设置 CPU 和内存的 requests 与 limits，防止资源争抢。
+- [ ] **磁盘类型与大小已规划** — SSD / HDD 选型匹配 IO 需求，PV 容量预留 >= 50% 增长空间。
+
+### 1.2 网络
+
+- [ ] **DNS 解析已配置且 TTL 合理** — 生产域名已指向正确端点，TTL <= 300s 以便快速切换。
+- [ ] **负载均衡健康检查已启用** — LB 健康检查路径返回 200，间隔 <= 10s，不健康阈值 <= 3 次。
+- [ ] **TLS 证书已部署且自动续期** — 证书有效期 >= 30 天，自动续期机制（如 cert-manager）已验证。
+- [ ] **网络策略已实施** — NetworkPolicy 或安全组仅开放必要端口，默认拒绝所有入站流量。
+- [ ] **CDN / 边缘缓存已配置** — 静态资源通过 CDN 分发，缓存策略（Cache-Control / ETag）已验证。
+
+### 1.3 部署流程
+
+- [ ] **CI/CD 流水线完整可用** — 从代码提交到生产部署全链路自动化，手动步骤已记录并最小化。
+- [ ] **蓝绿或金丝雀发布策略已实施** — 新版本可分批放量，异常时可快速切回旧版本。
+- [ ] **部署脚本幂等性已验证** — 重复执行部署不会产生副作用或数据损坏。
+- [ ] **制品版本可追溯** — 镜像 / 包版本与 Git commit SHA 一一对应，可从生产环境反查代码。
+- [ ] **环境变量与配置已参数化** — 无硬编码的环境特定值，所有配置通过 ConfigMap / Secret / 环境变量注入。
+
+---
+
+## 2. 监控与可观测性
+
+### 2.1 指标（Metrics）
+
+- [ ] **四大黄金指标已覆盖** — 延迟（latency）、流量（traffic）、错误率（errors）、饱和度（saturation）均有对应指标。
+- [ ] **业务关键指标已定义** — 注册转化率、订单成功率、支付完成率等核心业务指标已接入监控。
+- [ ] **指标采集频率已确认** — 关键指标采集间隔 <= 15s，存储保留期 >= 90 天。
+- [ ] **SLI / SLO 已定义** — 可用性、延迟百分位（P50/P95/P99）目标已量化，有对应 Dashboard。
+
+### 2.2 日志（Logging）
+
+- [ ] **结构化日志已实施** — 使用 JSON 格式，包含 timestamp、level、service、traceId、message 字段。
+- [ ] **日志分级合理** — ERROR 仅用于需要人工介入的异常，WARN 用于可自愈的异常，INFO 用于关键业务事件。
+- [ ] **日志集中化采集** — 日志通过 Fluentd / Filebeat / Vector 等统一采集到 ELK / Loki / CloudWatch。
+- [ ] **敏感信息已脱敏** — 日志中不包含密码、Token、身份证号、银行卡号等敏感字段。
+- [ ] **日志保留策略已配置** — 热数据 >= 7 天，温数据 >= 30 天，冷数据归档 >= 180 天。
+
+### 2.3 链路追踪（Tracing）
+
+- [ ] **分布式追踪已接入** — 使用 OpenTelemetry / Jaeger / Zipkin，关键链路 traceId 贯穿全链路。
+- [ ] **采样率已配置** — 生产环境采样率基于流量调整，异常请求 100% 采集。
+- [ ] **跨服务调用可追踪** — 从网关入口到最终数据库操作，完整链路可在追踪系统中查看。
+
+### 2.4 告警（Alerting）
+
+- [ ] **告警分级已定义** — P0（立即响应，<= 5min）、P1（紧急，<= 15min）、P2（重要，<= 1h）、P3（一般，下一工作日）。
+- [ ] **告警通知渠道已配置** — P0/P1 通过电话 + 短信 + IM，P2 通过 IM + 邮件，P3 通过邮件。
+- [ ] **告警升级路径已明确** — 超时未响应自动升级到上级，升级链条至少 3 级。
+- [ ] **告警抑制与聚合已配置** — 同一故障不重复告警，关联告警合并通知。
+- [ ] **告警阈值经过历史数据校准** — 非拍脑袋阈值，基于 P95/P99 历史数据 + 业务容忍度设定。
+
+---
+
+## 3. 安全
+
+- [ ] **认证机制已实施** — 所有 API 端点要求认证（JWT / OAuth2 / mTLS），无匿名可访问的敏感接口。
+- [ ] **授权模型已实施** — RBAC / ABAC 权限模型已落地，遵循最小权限原则。
+- [ ] **密钥管理规范** — 密钥 / Token / 证书通过 Vault / KMS / Secret Manager 管理，不存储在代码或配置文件中。
+- [ ] **数据加密已实施** — 传输层 TLS 1.2+，存储层敏感字段 AES-256 加密。
+- [ ] **输入验证已覆盖** — 所有外部输入经过白名单校验或参数化查询，防止 SQL 注入 / XSS / SSRF。
+- [ ] **安全头部已配置** — HSTS / CSP / X-Frame-Options / X-Content-Type-Options 已设置。
+- [ ] **依赖漏洞已扫描** — 无已知 Critical / High 漏洞，扫描工具（Snyk / Trivy / Dependabot）已集成到 CI。
+- [ ] **WAF / 速率限制已启用** — 针对公网入口启用 WAF 规则和请求频率限制。
+
+---
+
+## 4. 性能
+
+- [ ] **性能基线已建立** — 核心接口 P50 / P95 / P99 延迟基线已记录，QPS 上限已确认。
+- [ ] **压力测试已完成** — 使用 k6 / JMeter / Locust 进行压测，覆盖正常流量和峰值流量（>= 2x 预期峰值）。
+- [ ] **数据库查询已优化** — 慢查询（> 200ms）已加索引或重写，EXPLAIN 分析已完成。
+- [ ] **缓存策略已实施** — 热点数据使用 Redis / Memcached 缓存，命中率 >= 80%，缓存失效策略已定义。
+- [ ] **连接池已配置** — 数据库 / Redis / HTTP 客户端连接池大小经过调优，无连接泄漏。
+- [ ] **超时设置已配置** — 所有外部调用（HTTP / RPC / DB）设置合理超时，无无限等待风险。
+- [ ] **异步处理已实施** — 耗时操作通过消息队列异步化，不阻塞主请求链路。
+
+---
+
+## 5. 可靠性与容灾
+
+### 5.1 高可用
+
+- [ ] **服务多实例部署** — 关键服务 >= 2 个实例，跨可用区分布。
+- [ ] **数据库主从 / 多副本** — 数据库具备自动主从切换能力，RTO <= 30s。
+- [ ] **无单点故障** — 架构中无 SPOF，任一组件故障不导致整体不可用。
+- [ ] **优雅关闭已实现** — 收到 SIGTERM 后完成进行中请求，释放资源后退出，关闭超时 <= 30s。
+
+### 5.2 容灾与恢复
+
+- [ ] **备份策略已实施** — 数据库全量备份 >= 每日 1 次，增量备份 >= 每小时 1 次。
+- [ ] **备份恢复已演练** — 最近 30 天内完成过恢复演练，RPO / RTO 满足业务要求。
+- [ ] **跨区域灾备已配置**（如适用）— 异地备份已验证，主区域完全不可用时可在备区域恢复。
+- [ ] **回滚方案已文档化且可执行** — 应用回滚、数据回滚、配置回滚步骤已验证。
+
+### 5.3 降级与熔断
+
+- [ ] **熔断器已配置** — 下游服务异常时自动熔断，防止级联故障，恢复探测间隔已设置。
+- [ ] **降级策略已定义** — 非核心功能可降级为缓存数据 / 默认值 / 功能关闭。
+- [ ] **限流策略已实施** — 基于用户 / IP / 接口的限流规则已配置，超限返回 429。
+
+---
+
+## 6. 数据完整性
+
+- [ ] **数据一致性校验已实施** — 关键业务数据有对账机制，定期比对上下游数据。
+- [ ] **幂等性已保证** — 写入接口支持幂等重试，不会产生重复数据。
+- [ ] **数据库 Schema 变更已兼容** — 无破坏性 DDL（如删列、改类型），Schema 变更可前向兼容。
+- [ ] **数据生命周期已管理** — 过期数据有归档 / 清理策略，存储增长可控。
+
+---
+
+## 7. 文档与运维手册
+
+- [ ] **架构文档已更新** — 系统架构图、组件交互图、数据流图与当前实现一致。
+- [ ] **API 文档已发布** — OpenAPI / Swagger 文档已生成并可访问，版本与生产一致。
+- [ ] **Runbook 已编写** — 常见故障场景的诊断与处理步骤已文档化，新人可按步骤操作。
+- [ ] **变更日志已记录** — CHANGELOG 记录本次上线的所有变更项、影响范围、回滚方式。
+- [ ] **值班手册已更新** — 告警处理流程、升级路径、关键联系人信息已同步至值班团队。
+- [ ] **依赖清单已维护** — 上下游服务依赖关系、第三方 SLA、联系方式已汇总。
+
+---
+
+## 8. 合规与审计
+
+- [ ] **审计日志已启用** — 关键操作（登录、权限变更、数据修改、配置变更）有不可篡改的审计日志。
+- [ ] **数据合规已确认** — 个人数据处理符合 GDPR / 个人信息保护法要求，隐私政策已更新。
+- [ ] **访问控制可审计** — 谁在什么时间访问了什么资源可追溯查询。
+- [ ] **保留策略符合法规** — 日志 / 数据保留期限满足行业监管要求。
+
+---
+
+## 通过标准汇总
+
+| 类别 | MUST 项数 | 通过条件 |
+|------|-----------|----------|
+| 基础设施与部署 | 15 | 全部通过 |
+| 监控与可观测性 | 16 | 全部通过 |
+| 安全 | 8 | 全部通过 |
+| 性能 | 7 | 全部通过 |
+| 可靠性与容灾 | 11 | 全部通过 |
+| 数据完整性 | 4 | 全部通过 |
+| 文档与运维手册 | 6 | 全部通过 |
+| 合规与审计 | 4 | 全部通过 |
+
+---
+
+## 参考
+
+- Google SRE Book: Production Readiness Review — https://sre.google/sre-book/evolving-sre-engagement-model/
+- AWS Well-Architected Framework — https://aws.amazon.com/architecture/well-architected/
+- The Twelve-Factor App — https://12factor.net/
+
+---
+
+## Agent Checklist
+
+供 AI Agent 在执行生产就绪检查时使用的自检项：
+
+- [ ] 已逐项核对上述所有检查项，未跳过任何类别。
+- [ ] 对每个未通过项已记录具体原因和修复建议。
+- [ ] 已与业务方确认 SLI / SLO 目标值。
+- [ ] 已验证备份恢复流程可实际执行（非纸面验证）。
+- [ ] 已确认告警通知链路端到端可达（发送测试告警）。
+- [ ] 已在预发布环境完成全量验证后再执行生产检查。
+- [ ] 检查结果已生成报告并存档至 `output/` 目录。

package/development/03-checklists/release-readiness-checklist.md

@@ -0,0 +1,154 @@
+---
+id: release-readiness-checklist
+title: 发布就绪检查清单 (Release Readiness Checklist)
+domain: development
+category: 03-checklists
+difficulty: intermediate
+tags: [checklist, development, readiness, release, 依赖确认, 发布后验证, 发布计划, 变更记录]
+quality_score: 70
+last_updated: 2026-06-15
+---
+# 发布就绪检查清单 (Release Readiness Checklist)
+
+> 适用场景：版本发布前的最终审查，包括常规发布、热修复发布、重大版本升级。
+> 通过标准：所有 MUST 项全部通过方可发布；SHOULD 项未通过需要发布负责人签字确认风险接受。
+
+---
+
+## 1. 质量门禁
+
+### 1.1 测试通过
+
+- [ ] **单元测试全部通过** — 单元测试套件 0 失败，覆盖率不低于既有基线（不因本次发布降低）。
+- [ ] **集成测试全部通过** — 模块间集成测试通过，包括数据库 / 缓存 / 消息队列的集成场景。
+- [ ] **E2E 测试通过** — 核心用户流程（登录 / 核心业务操作 / 支付等）端到端测试通过。
+- [ ] **回归测试全部通过** — 自动化回归套件 0 失败，关键业务路径人工回归已完成。
+- [ ] **冒烟测试脚本已准备** — 发布后执行的冒烟测试用例已编写，覆盖核心功能可用性。
+
+### 1.2 缺陷状态
+
+- [ ] **无 P0 / P1 未修复缺陷** — 所有 Critical / High 级别缺陷已修复并验证。
+- [ ] **P2 缺陷已评估** — Medium 级别缺陷已逐个评估，确认不影响核心功能或已有 workaround。
+- [ ] **已知问题已记录** — 本次发布的已知问题列表已整理，包含影响范围和临时应对方案。
+
+### 1.3 安全扫描
+
+- [ ] **依赖漏洞扫描通过** — 无 Critical / High 级别已知漏洞（Snyk / Trivy / npm audit）。
+- [ ] **SAST 扫描通过** — 静态代码安全扫描（Semgrep / SonarQube）无高危发现。
+- [ ] **容器镜像扫描通过** — 生产镜像漏洞扫描无 Critical 发现。
+
+---
+
+## 2. 性能验证
+
+- [ ] **性能基线对比通过** — 核心接口 P95 延迟未较上一版本退化 > 10%。
+- [ ] **压力测试已执行** — 在预发布环境执行压测，QPS 达到预期峰值的 >= 2x 无异常。
+- [ ] **资源使用评估通过** — CPU / 内存 / 磁盘 / 网络使用在预期范围内，无资源泄漏趋势。
+- [ ] **慢查询已检查** — 新增数据库查询无 > 200ms 的慢查询，或已确认可接受。
+- [ ] **前端性能达标**（如适用）— Lighthouse 评分 >= 80，LCP <= 2.5s，FID <= 100ms，CLS <= 0.1。
+
+---
+
+## 3. 监控与告警
+
+- [ ] **监控面板已更新** — Grafana / CloudWatch Dashboard 已包含新功能的关键指标。
+- [ ] **告警规则已配置** — 新增功能的异常阈值告警已配置，通知渠道已验证。
+- [ ] **SLI / SLO 指标已更新** — 新增接口已纳入 SLI 计算范围。
+- [ ] **日志采集已验证** — 新增日志在预发布环境可正常检索和查询。
+- [ ] **链路追踪已验证** — 新增服务调用链路在追踪系统中可完整查看。
+
+---
+
+## 4. 回滚准备
+
+- [ ] **回滚方案已文档化** — 回滚步骤已编写，包含应用回滚、数据回滚、配置回滚的具体操作。
+- [ ] **回滚已演练** — 在预发布环境执行过回滚操作，验证回滚后系统正常。
+- [ ] **回滚触发条件已定义** — 明确什么指标异常时触发回滚（如错误率 > 5%，P99 延迟 > 3s）。
+- [ ] **数据库变更可回滚** — DB migration 有对应的 rollback migration，且已验证。
+- [ ] **Feature Flag 可关闭**（如使用）— 新功能可通过 Feature Flag 立即关闭而无需部署。
+
+---
+
+## 5. 发布计划
+
+### 5.1 时间窗口
+
+- [ ] **发布时间已确定** — 避开业务高峰期，选择低流量窗口（如工作日上午 10:00-12:00）。
+- [ ] **变更窗口已申请** — 变更管理系统中已提交并获批变更申请。
+- [ ] **维护通知已发送**（如有停机）— 提前 >= 24 小时通知受影响用户。
+- [ ] **发布时长已评估** — 发布预计耗时已评估，预留充足的验证和观察时间。
+
+### 5.2 人员安排
+
+- [ ] **发布负责人已指定** — 有明确的发布协调人，对发布过程全程负责。
+- [ ] **值班人员已安排** — 发布后 >= 2 小时有工程师值守，P0/P1 告警可 5 分钟内响应。
+- [ ] **上下游团队已通知** — 依赖服务方和被依赖方已知悉发布计划和潜在影响。
+- [ ] **DBA 支持已确认**（如涉及 DB 变更）— DBA 在发布窗口内可支持数据库操作。
+
+### 5.3 发布策略
+
+- [ ] **发布方式已确定** — 蓝绿 / 金丝雀 / 滚动更新策略已选定，配置已就绪。
+- [ ] **灰度比例已规划** — 金丝雀发布的流量比例和观察时间已定义（如 5% -> 20% -> 50% -> 100%）。
+- [ ] **健康检查已配置** — 部署后自动执行健康检查，不健康实例自动排除。
+
+---
+
+## 6. 依赖确认
+
+- [ ] **上游依赖版本已锁定** — 本次发布依赖的外部服务版本已确认稳定。
+- [ ] **下游兼容性已确认** — 本次变更不影响下游消费方，或已协调下游同步升级。
+- [ ] **第三方服务状态正常** — 依赖的第三方 API / SaaS 服务当前运行正常（检查 Status Page）。
+- [ ] **基础设施就绪** — 新增资源（DB 实例 / 缓存集群 / 消息队列 Topic）已创建并就绪。
+- [ ] **配置变更已同步** — 环境变量 / ConfigMap / Feature Flag 已在生产环境准备好。
+
+---
+
+## 7. 变更记录
+
+- [ ] **CHANGELOG 已更新** — 本版本所有变更项已记录，包含新功能、修复、破坏性变更。
+- [ ] **版本号已更新** — 遵循 SemVer 规范（MAJOR.MINOR.PATCH），版本号已在代码和构建配置中更新。
+- [ ] **Release Notes 已编写** — 面向用户的发布说明已撰写，语言简洁清晰。
+- [ ] **内部发布邮件已准备** — 包含变更摘要、影响范围、值班安排、回滚方案的内部邮件已拟好。
+
+---
+
+## 8. 发布后验证
+
+- [ ] **冒烟测试已执行** — 发布后立即执行冒烟测试，核心功能全部可用。
+- [ ] **监控指标已观察** — 发布后 >= 30 分钟持续观察关键指标，无异常波动。
+- [ ] **日志无异常** — 无新增 ERROR 级别日志，无异常堆栈追踪。
+- [ ] **用户反馈通道已开启** — 客服 / 社区 / 内部反馈渠道已关注，可快速接收异常报告。
+- [ ] **发布结果已记录** — 发布时间、执行人、验证结果、观察期结论已记录。
+
+---
+
+## 热修复发布附加项
+
+以下检查项适用于紧急热修复场景（在常规检查的基础上追加）：
+
+- [ ] **影响范围已精确评估** — 仅修改受影响的最小代码范围，不夹带其他变更。
+- [ ] **修复已在预发布环境验证** — 即使紧急，也必须在 staging 验证后再发生产。
+- [ ] **事故时间线已记录** — 从问题发现到修复发布的完整时间线已记录。
+- [ ] **事后复盘已排期** — 热修复后 48 小时内安排事后复盘（Post-Mortem）。
+
+---
+
+## 参考
+
+- Semantic Versioning — https://semver.org/
+- Google SRE: Release Engineering — https://sre.google/sre-book/release-engineering/
+- Continuous Delivery by Jez Humble & David Farley
+
+---
+
+## Agent Checklist
+
+供 AI Agent 在执行发布就绪检查时使用的自检项：
+
+- [ ] 已确认 CI 流水线全部通过，无跳过或忽略的失败项。
+- [ ] 已核对依赖服务状态，确认上下游正常运行。
+- [ ] 已验证回滚方案在预发布环境可执行。
+- [ ] 已确认值班人员安排和告警通知链路可达。
+- [ ] 已检查 CHANGELOG 和版本号是否已正确更新。
+- [ ] 已核对发布后冒烟测试用例覆盖核心业务路径。
+- [ ] 发布就绪检查报告已生成并存档至 `output/` 目录。

package/development/03-checklists/security-review-checklist.md

@@ -0,0 +1,182 @@
+---
+id: security-review-checklist
+title: 安全评审检查清单 (Security Review Checklist)
+domain: development
+category: 03-checklists
+difficulty: intermediate
+tags: [checklist, development, owasp, review, security, 依赖与供应链安全, 基础设施安全, 安全]
+quality_score: 70
+last_updated: 2026-06-15
+---
+# 安全评审检查清单 (Security Review Checklist)
+
+> 适用场景：新功能安全评审、定期安全审计、第三方集成安全评估、合规检查。
+> 通过标准：所有 Critical / High 项全部通过，Medium 项覆盖率 >= 90%，Low 项记录并排期修复。
+
+---
+
+## 1. 认证（Authentication）
+
+### 1.1 身份验证机制
+
+- [ ] **认证方案已确定** — 使用标准协议（OAuth 2.0 / OpenID Connect / SAML），非自研认证方案。
+- [ ] **密码策略已实施** — 最小长度 >= 8 字符，要求包含大小写字母 + 数字 + 特殊字符，禁止常见弱密码。
+- [ ] **密码存储安全** — 使用 bcrypt / scrypt / Argon2 哈希存储，cost factor >= 10，不使用 MD5 / SHA1。
+- [ ] **多因素认证已支持** — 高权限账户强制 MFA（TOTP / WebAuthn / SMS），普通用户可选开启。
+- [ ] **登录失败锁定已配置** — 连续失败 >= 5 次锁定账户 15 分钟，或启用渐进式延迟。
+- [ ] **会话管理安全** — Session ID 随机生成（>= 128 bit），登录后重新生成，HttpOnly + Secure + SameSite 属性已设置。
+
+### 1.2 Token 安全
+
+- [ ] **JWT 签名算法安全** — 使用 RS256 / ES256，禁止 none / HS256（对称密钥场景除外）。
+- [ ] **Token 有效期合理** — Access Token <= 15 分钟，Refresh Token <= 7 天，支持主动撤销。
+- [ ] **Token 存储安全** — 前端存储于 HttpOnly Cookie 或内存中，不使用 localStorage。
+- [ ] **Token 刷新机制安全** — Refresh Token 轮转（使用后失效），检测重放攻击时撤销整个会话。
+
+---
+
+## 2. 授权（Authorization）
+
+- [ ] **权限模型已实施** — RBAC / ABAC 权限体系已落地，角色与权限映射已文档化。
+- [ ] **最小权限原则** — 用户 / 服务账号仅拥有完成职能所需的最小权限集。
+- [ ] **越权访问已防护** — 水平越权（访问同级别其他用户数据）和垂直越权（提升自身权限）均有检查。
+- [ ] **资源级别权限校验** — 每次资源访问都验证当前用户是否有权操作该具体资源，不仅检查角色。
+- [ ] **管理接口隔离** — Admin API 独立部署或网络隔离，不对公网暴露。
+- [ ] **权限变更有审计** — 角色分配、权限调整操作记录审计日志，支持事后追溯。
+- [ ] **服务间认证已实施** — 微服务间调用使用 mTLS / Service Mesh / API Key，不允许无认证内部调用。
+
+---
+
+## 3. 输入验证与注入防护
+
+### 3.1 SQL 注入
+
+- [ ] **参数化查询已全面使用** — 所有数据库操作使用 ORM 或参数化查询（Prepared Statement），无字符串拼接 SQL。
+- [ ] **数据库账号权限最小化** — 应用使用的数据库账号无 DROP / GRANT / CREATE USER 权限。
+- [ ] **动态排序/分页字段白名单** — ORDER BY / LIMIT 等动态字段通过白名单校验，不直接拼接用户输入。
+
+### 3.2 XSS（跨站脚本）
+
+- [ ] **输出编码已实施** — 所有动态内容输出时根据上下文进行 HTML / JS / URL / CSS 编码。
+- [ ] **CSP 头已配置** — Content-Security-Policy 限制脚本来源，禁止 inline script（或使用 nonce）。
+- [ ] **富文本输入已净化** — 使用 DOMPurify / bleach 等白名单净化库处理 HTML 输入。
+- [ ] **Cookie 设置 HttpOnly** — 敏感 Cookie 不可被 JavaScript 访问。
+
+### 3.3 其他注入
+
+- [ ] **SSRF 防护已实施** — 用户可控 URL 经过内网地址 / 回环地址 / 元数据端点过滤。
+- [ ] **命令注入已防护** — 避免直接调用 shell 命令，必须调用时使用参数数组而非字符串拼接。
+- [ ] **路径遍历已防护** — 文件操作路径经过规范化处理，禁止 `../` 遍历。
+- [ ] **XML 外部实体（XXE）已禁用** — XML 解析器禁用 DTD 和外部实体加载。
+- [ ] **反序列化安全** — 不反序列化不可信数据，或使用安全的序列化格式（JSON 而非 Pickle / Java Serialization）。
+
+### 3.4 通用输入校验
+
+- [ ] **白名单优于黑名单** — 输入校验优先使用允许列表，拒绝不在列表中的输入。
+- [ ] **文件上传已限制** — 文件类型通过 MIME + 魔数校验，大小有上限，存储路径不可被直接访问。
+- [ ] **请求体大小已限制** — 配置最大请求体大小（如 10MB），防止大负载 DoS。
+
+---
+
+## 4. 数据保护
+
+### 4.1 传输加密
+
+- [ ] **TLS 1.2+ 已强制** — 禁用 TLS 1.0 / 1.1 / SSLv3，仅允许安全密码套件。
+- [ ] **HSTS 已启用** — Strict-Transport-Security 头 max-age >= 31536000，包含 includeSubDomains。
+- [ ] **内部通信加密** — 微服务间通信使用 mTLS 或加密通道，不传输明文敏感数据。
+
+### 4.2 存储加密
+
+- [ ] **敏感字段加密存储** — 密码、密钥、身份证号、银行卡号等使用 AES-256-GCM 或同等强度加密。
+- [ ] **加密密钥独立管理** — 密钥存储于 KMS / Vault，与加密数据物理分离，支持密钥轮转。
+- [ ] **备份数据已加密** — 数据库备份、日志归档均加密存储，访问需要独立授权。
+
+### 4.3 敏感信息管理
+
+- [ ] **密钥不在代码中** — 代码库中无硬编码的 API Key / Secret / 密码，CI/CD 使用密钥管理服务注入。
+- [ ] **日志中无敏感信息** — 日志输出已脱敏，不包含密码、Token、PII 数据。
+- [ ] **错误响应不泄露内部信息** — 生产环境错误响应不包含堆栈追踪、数据库表名、内部 IP。
+- [ ] **Git 历史已清理** — 历史提交中无泄露的密钥 / 密码（使用 git-secrets / truffleHog 扫描）。
+
+---
+
+## 5. API 安全
+
+- [ ] **速率限制已实施** — 按用户 / IP / 接口配置请求频率限制，超限返回 HTTP 429。
+- [ ] **CORS 策略已配置** — Access-Control-Allow-Origin 明确指定允许的域名，不使用 `*`（公共 API 除外）。
+- [ ] **CSRF 防护已实施** — 状态变更操作使用 CSRF Token 或 SameSite Cookie + Origin 头校验。
+- [ ] **API 版本化已实施** — API 变更通过版本号管理（URL / Header），废弃版本有迁移期。
+- [ ] **请求/响应 Schema 校验** — 使用 JSON Schema / Protobuf 校验请求格式，拒绝异常结构。
+- [ ] **GraphQL 安全**（如适用）— 查询深度限制、复杂度限制、内省在生产环境禁用。
+
+---
+
+## 6. 依赖与供应链安全
+
+- [ ] **依赖漏洞扫描已集成** — CI 中运行 Snyk / Trivy / npm audit / pip-audit，Critical / High 阻断发布。
+- [ ] **依赖版本已锁定** — 使用 lock 文件（package-lock.json / poetry.lock / go.sum），构建可重现。
+- [ ] **基础镜像安全** — Docker 基础镜像使用官方镜像 + 固定版本号，定期更新。
+- [ ] **容器以非 root 运行** — Dockerfile 指定非 root 用户，不使用 `--privileged` 模式。
+- [ ] **软件物料清单（SBOM）已生成** — 使用 Syft / CycloneDX 生成 SBOM，可追溯所有依赖来源。
+- [ ] **第三方库许可证合规** — 无 GPL（如商业项目不兼容）或其他限制性许可证冲突。
+
+---
+
+## 7. 基础设施安全
+
+- [ ] **网络分段已实施** — 数据库 / 缓存 / 内部服务不对公网暴露，通过私有子网 + 安全组隔离。
+- [ ] **SSH / 远程访问受控** — 禁用密码登录，使用密钥认证 + 跳板机，会话有审计记录。
+- [ ] **Kubernetes 安全策略** — PodSecurityPolicy / OPA / Kyverno 限制特权容器、hostNetwork、hostPID。
+- [ ] **镜像签名与验证** — 容器镜像经过签名（Cosign / Notation），部署时验证签名完整性。
+- [ ] **Secret 管理** — Kubernetes Secret 加密存储（etcd 加密），或使用 External Secrets Operator 对接 Vault。
+
+---
+
+## 8. 安全监控与响应
+
+- [ ] **安全事件日志集中化** — 认证失败、授权拒绝、异常访问模式日志统一采集到 SIEM。
+- [ ] **异常检测规则已配置** — 暴力破解、异地登录、大量 403/401 等模式有自动告警。
+- [ ] **安全事件响应流程已定义** — 事件分级、通知链路、处置步骤、事后复盘流程已文档化。
+- [ ] **渗透测试已完成** — 上线前完成内部或第三方渗透测试，高危发现已修复。
+- [ ] **安全联系方式已公开** — security.txt 或安全响应邮箱已配置，外部可报告漏洞。
+
+---
+
+## 9. OWASP Top 10 对照
+
+| OWASP 风险 | 对应检查项 | 状态 |
+|-------------|-----------|------|
+| A01: Broken Access Control | 第 2 节（授权）全部 | |
+| A02: Cryptographic Failures | 第 4 节（数据保护）全部 | |
+| A03: Injection | 第 3 节（输入验证）全部 | |
+| A04: Insecure Design | 架构评审检查清单 | |
+| A05: Security Misconfiguration | 第 7 节（基础设施安全）| |
+| A06: Vulnerable Components | 第 6 节（依赖安全）全部 | |
+| A07: Auth Failures | 第 1 节（认证）全部 | |
+| A08: Software/Data Integrity | 第 6 节（SBOM + 镜像签名）| |
+| A09: Logging/Monitoring Failures | 第 8 节（安全监控）全部 | |
+| A10: SSRF | 3.3 节（SSRF 防护）| |
+
+---
+
+## 参考
+
+- OWASP Top 10 (2021) — https://owasp.org/Top10/
+- OWASP ASVS (Application Security Verification Standard) — https://owasp.org/www-project-application-security-verification-standard/
+- CWE/SANS Top 25 — https://cwe.mitre.org/top25/
+- NIST Cybersecurity Framework — https://www.nist.gov/cyberframework
+
+---
+
+## Agent Checklist
+
+供 AI Agent 在执行安全评审时使用的自检项：
+
+- [ ] 已逐项核对 OWASP Top 10 对照表，无遗漏风险类别。
+- [ ] 已使用自动化工具扫描（Trivy / Snyk / Semgrep），非纯人工目检。
+- [ ] 已检查 Git 历史中是否存在泄露的密钥或凭证。
+- [ ] 已验证所有外部输入的处理路径，包括 Header / Cookie / Query / Body / File。
+- [ ] 已确认安全配置在所有环境（dev / staging / prod）一致。
+- [ ] 已记录每个未通过项的风险等级（Critical / High / Medium / Low）和修复建议。
+- [ ] 安全评审报告已存档至 `output/` 目录。